와이어샤크 패킷 분석 by Overpass 2 - Hacked (TryHackMe)

우선 아래 사이트에서 제공하는 패킷 덤프를 다운받은 후에 와이어샤크로 열어봅니다.

https://tryhackme.com/room/overpass2hacked

TryHackMe | Overpass 2 - Hacked

파일에는 여러 주소 정보가 혼합되어 있는데 우선 의심스러운 아이피, 192.168.170.145 를 추적해 봅니다.

이를 위해 Source IP 를 기준으로 정렬을 시키고 초기 연결을 분석해봅니다.

182.168.170.145

HTTP 를 이용해 연결을 시도하고 있는데요. 이중에서 POST method 를 이용해 서버로 Request 요청을 좀 더 살펴 봅니다. GET method 는 서버의 정보를 단순히 읽어오는 method 로서 우리가 찾고 있는 reverse shell 에 대한 Payload 전달은 POST 를 통해 서버로 전달할 거라는 가정입니다.

더블 클릭 후 패킷의 정보를 좀 더 조사하다 보면 Payload 를 통해 php reverse shell 관련 명령어를 전달하는 것을 알수 있습니다. 물론 이렇게 패킷정보를 와이어 샤크로 확인이 가능한 것은 암호화가 되지 않는 HTTP 를 통해서 데이터를 주고 받기 때문입니다.

 

바로 찾았네요. 보시는 것처럼 <?php exe ... > 명령어를 전달하여 서버와 연결을 시도하고 있네요. 

추가로 hex code 부분에서 오른쪽 마우스를 클릭하게 되면 아래와 같이 여러 포맷으로 해당 파일을 읽을 수 있습니다.

hex code